4 formas innovadoras en que los ciberataques buscan errores de seguridad - Calendae | Informática, Electrónica, CMS, Ciberseguridad

4 formas innovadoras en que los ciberataques buscan errores de seguridad

Hola, un placer verte por aquí. Te escribe Eduardo Arroyo y en el día de hoy te voy a contar sobre 4 formas innovadoras en que los ciberataques buscan errores de seguridad


InfoSec Insider

4 formas innovadoras en que los ciberataques buscan errores de seguridad

David «moose» Wolpoff, cofundador y CTO de Randori, habla sobre rutas de piratería menos conocidas, incluidas las banderas «fixme» sin resolver en los grupos de apoyo para desarrolladores.

Los blue teamers luchan constantemente contra los piratas informáticos, adversarios sin rostro cuya persistencia puede parecer interminable. Pero estos actores tienen procesos como las operaciones corporativas, incluso si los suyos son de contrabando.

Los atacantes buscan el camino de menor resistencia: acceden con el menor esfuerzo posible; haga el menor ruido posible; y utilice la menor cantidad posible de exploits.

Después de identificar un activo atractivo para explotar, los atacantes utilizan técnicas para encontrar una vulnerabilidad. Algunos pueden darles a los atacantes una victoria más rápidamente, otros toman más tiempo. Encontrar y explotar un error puede llevar desde un par de horas hasta varios meses o más. Algunos atacantes utilizan métodos probados, pero los más creativos encuentran formas de explotar los sistemas a través de vectores inesperados. Los equipos de seguridad interna deben comprender qué partes de su superficie de ataque son más atractivas para los oponentes a fin de desarrollar estrategias de defensa efectivas.

La perspectiva de un atacante sobre la búsqueda de errores puede ayudar a informar cómo los defensores protegen activos valiosos, que comienza con cuatro métodos comunes.

Encuentra Doppelgangers CVE

Al igual que los equipos de seguridad que se enfrentan a la fatiga de las alarmas, los atacantes se enfrentan a una variedad de información sobre la vulnerabilidad; sólo algunos de los cuales son importantes para sus propósitos. Los atacantes pueden cotejar las vulnerabilidades con sus objetivos como punto de partida, pero los CVE de alta gravedad no siempre son fructíferos (son de conocimiento público y es probable que los equipos de seguridad los supervisen bien). Sin embargo, los CVE conocidos son excelentes puntos de partida para descubrir errores similares que acechan en el código. Piense en el ciclo de desarrollo de software. El código implementado en su organización se puede reutilizar y reciclar, infiltrándose en su entorno. Si parchea una vulnerabilidad para el código actualmente en desarrollo, pero no para otras versiones, ha dejado una variante de ese error sin parchear. Para los atacantes, ejecutar una verificación de código fuente abierto es una forma fácil de encontrar vulnerabilidades y una ruta relativamente insegura en una red.

Notas de desarrollador sin resolver

Leer el código fuente puede ser como descubrir un mapa del tesoro para los atacantes. Un punto en el que a menudo encuentro frutos de bajo vuelo es en las notas que los desarrolladores se dejan entre sí, que se dejan en algún momento del ciclo de desarrollo del software. Al crear el software, los desarrolladores revisan el código y marcan las áreas con errores conocidos. Pero los desarrolladores se mueven rápido y pueden dejar estas notas sin resolver. Sé que encontré oro cuando encontré etiquetas de desarrollador en su código que dicen «FIXME» o «RBF» (eliminar antes del vuelo). Etiquetas como esta ponen en el blanco de las vulnerabilidades potencialmente explotables y no reparadas. Una vez encontré un error en una función llamada «FIXME: posible desbordamiento del búfer aquí. NO ENVIAR TAL CUAL». De hecho, se envió como está y aprovechamos este error con facilidad.

Bandera de SOS en foros de soporte

Una vez, mientras buscaba un lugar para explotar en el perímetro de una meta, mi equipo notó que la empresa estaba probando un nuevo dispositivo y el equipo de TI de la empresa había publicado varias preguntas en un foro de soporte genérico con las direcciones de correo electrónico de su empresa. El activo parecía fácil de romper. Después de una búsqueda rápida en Google, determinamos que el dispositivo era un producto caro de un conocido fabricante de equipos telefónicos. Analizamos los foros de soporte y encontramos parte de una actualización de firmware publicada Online, que contenía tres errores.

En este caso, se encontró un error en la función de análisis de ruta de URL que nos permitió omitir la autenticación. Otro nos permite acceder a rutas de código sin ser un administrador de sistemas, lo que nos lleva a la capacidad de cargar y descargar archivos. El último fue un error de pérdida de archivos arbitrario que nos permitió leer todos los archivos en el sistema de archivos de la aplicación. En cada capítulo, estos exploits eran información disponible públicamente, cada uno con la clave del siguiente. A los atacantes les encanta seguir los pasos de los miembros de su equipo fuera de las paredes de su red para encontrar rastros de información que podrían conducir a un exploit.

Spearfuzzing

Una táctica más lenta y menos satisfactoria para encontrar errores es el fuzzing. Una vez estuve a cargo de unirme a una empresa, así que comencé desde un lugar relativamente simple: la página de inicio de sesión del empleado. Comencé a pinchar a ciegas, ingresando «a» como nombre de usuario y se me negó el acceso. Escribí dos a … acceso denegado de nuevo. Luego intenté escribir 1000 ay el portal dejó de hablarme. Un minuto después, el sistema volvió a estar Online e inmediatamente lo intenté de nuevo. Tan pronto como el portal de inicio de sesión se desconectó, me di cuenta de que había encontrado un error.

Fuzzing puede parecer un camino fácil para encontrar todos los exploits en una red, pero para los atacantes, es una táctica que rara vez funciona por sí sola. Y si un atacante ataca un sistema Online, es casi seguro que advertirá a un administrador de sistemas. Prefiero lo que llamo spear-fuzzing: integrar el proceso con un elemento de investigación humana. Usar el conocimiento del mundo real para reducir la superficie de ataque e identificar dónde excavar ahorra mucho tiempo.

Los defensores se centran constantemente en hacer que la intrusión sea más difícil para los atacantes, pero los piratas informáticos simplemente no piensan como defensores. Los piratas informáticos están vinculados al costo personal de tiempo y esfuerzo, pero no a las políticas o herramientas comerciales. Para las empresas, adaptarse a la lógica de los piratas informáticos y comprender qué hace que un objetivo sea atractivo es el primer paso en la defensa ofensiva. Comience por comprender el impacto potencial de un activo comprometido y la probabilidad de un pirateo exitoso. Esto reduce la comprensión de la superficie de ataque más crítica para defender. Esto permite a los defensores considerar los valores vigentes y los CVE que realmente pueden ser importantes. Comprender la perspectiva de los piratas informáticos permite a las empresas desarrollar resiliencia más allá de las mejores prácticas tradicionales para crear una estrategia de defensa en capas y mantener a raya a los piratas informáticos persistentes.

.

Deberías compartir en una historia de tu Instagram para que tus colegas lo sepan

??? ? ? ???

Comparte